学习资料: ITIL培训基地专家讲堂直播 300期视频回放
安全管理流程通过防止信息未经授权的访问,来确保数据安全。 |
安全管理流程的目标是 |
. 遵守服务级别协议的安全要求 |
. 满足合同、法律和政策中未定义的外部要求 |
. 为信息系统提供安全基线(独立于外部要求) |
. 确保战略层、战术层和运营层都采取有效的安全措施 |
. *信息安全保护信息免于入侵和非法访问等风险,确保组织的信息安全。信息安全管理流程就是保护机密信息免遭未经授权访问的流程。 |
安全管理流程的输入、输出 |
输入 |
|
SLA:SLA中的安全内容定义了用户关于安全的详细说明。 |
安全政策:安全政策定义了组织层面的安全要求。 |
外部需求:当组织与外部资源相互作用时,需要满足外部对安全的需求。 |
|
输出:包括日常安全计划和异常报告 |
日常安全计划是所有流程实施的组成部分。 |
异常报告记录需要采取特定安全措施的异常情况。 |
安全管理流程可以被划分为以下活动:计划-实施-评估-维护-报告-控制 |
服务级别经理协调安全管理流程与服务级别管理流程之间的关系。 |
SLAs中的安全目标通过安全计划最终确认。安全计划可被视为运营级别协议(OLAs)的一部分。 |
安全维护包括SLA安全部分和OLA中详细安全计划 |
安全经理的职责 |
. 监控安全管理流程 |
. 根据组织安全需求,开发与维护安全计划。 |
. 处理与安全相关的问题和事件 |
. 确保满足SAL中指定的安全需求 |
. 完成包含流程结果、自评估及内部审计的报告 |
|
安全主管的职责 |
. 充当安全经理与客户间的协调人 |
. 协调安全事件的升级 |
. 管理客户端实施的安全措施。 |
在实施安全管理流程时,可能碰到以下瓶颈 |
. 缺少管理层的承诺:IT服务持续性管理为应对意外灾难而创建并维护持续性计划。 |
这些持续性计划也同样定义安全需求,这些安全需求参考安全管理流程后得以确定。安全管理流程同样需要监控在实施持续性计划后安全措施的正确执行情况。 |
. 安全管理意识不到位:一些破坏安全的行为,可能是因为缺乏安全管理的意识导致的。所以,为了流程的有效实施,组织中所有需要遵守的安全措施和程序都应该清楚地传达给每个员工。 |
. 抵制态度:实施安全管理流程限制了对信息的访问,用户可能感到不方便,甚至产生抵制情绪。管理者应该帮助用户意识到安全管理流程的重要性,鼓励用户采用这些安全措施。为了确保安全规定被遵守,安全措施应该贯彻到日常运营活动中。 |
. 仓促实施:有时,IT组织试图立即实施所有的安全措施。仓促的实施可能会带来新的错误。为了避免该问题,需要逐步实施安全措施。渐进地实施安全管理流程可能会持续一段较长的时间,但是它能确保信息安全,免遭未经授权的访问。 |
. 验证不充分:有时实施安全措施后,没有验证所有系统是否满足安全需求。因此,需要定期测试信息系统,来验证它们与安全规定的符合性。高级管理者需要清楚地说明测试指南,以确保与安全措施持续地符合。 |
. 与变更管理缺乏联系:当评价变更的影响时,可能会忽略变更对安全的影响。然而,当IT组织实施任何变更时都需要维护安全,需要对变更进行严格的测试以确保没有违反安全准则。所以,在安全管理流程和变更管理之间建立紧密的联系是非常必要的。 |
. 缺少入侵检测系统: |